よむ、つかう、まなぶ。
医療情報システムの安全管理に関するガイドライン 第6.0版(システム運用編)(令和5年5月) (54 ページ)
出典
公開元URL | https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html |
出典情報 | 医療情報システムの安全管理に関するガイドライン 第6.0版(5/31)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
18.外部からの攻撃に対する安全管理措置
[Ⅰ~Ⅳ]
【遵守事項】
①
医療情報システムに対する不正ソフトウェアの混入やサイバー攻撃などによるインシデント
に対して、以下の対応を行うこと。
-
攻撃を受けたサーバ等の遮断や他の医療機関等への影響の波及の防止のための外部ネット
ワークの一時切断
- 他の情報機器への混入拡大の防止や情報漏洩の抑止のための当該混入機器の隔離
- 他の情報機器への波及の調査等被害の確認のための業務システムの停止
-
バックアップからの重要なファイルの復元(重要なファイルは数世代バックアップを複数
の方式(追記可能な設定がなされた記録媒体と追記不能設定がなされた記録媒体の組み合わ
せ、端末及びサーバ装置やネットワークから切り離したバックアップデータの保管等)で確
保することが重要である)
18.1 サイバーセキュリティ対応
システム運用担当者は、サイバー攻撃を受けた等、サイバーセキュリティ対応の必要が生じた際に、
技術的な対応を行う必要が生じる場合がある。またサイバー攻撃等に備え、関係先への連絡手段や紙
での運用等の代替手段を準備する必要がある。
サイバー攻撃への対策については、PC や VPN 機器等の脆弱性対策については、
「8.2 情報機器
等の脆弱性への対策」を参照するほか、NISC から示されている「政府機関等のサイバーセキュリティ
対策のための統一基準群(令和3年度版)
」、2021 年 4 月 30 日の「ランサムウェアによるサイバー攻撃
に関する注意喚起について」も参照することが求められる。
また、非常時に備えたバックアップの実施と管理については、「11.システム運用管理(通常時・
非常時等)
」
、
「12.2 バックアップの管理」も参照することが求められる。
なお、医療情報システムは一般に複雑で、医療機関の規模等によって運用やバックアップの方法も
様々である。一様に指針を示すことは困難であるが、医療機関においては、重大な障害により医療提
供体制に支障が生じた場合であっても、診療の継続や早期に業務を再開することが求められる。バッ
クアップに関しては、全ての情報をバックアップから復元するのではなく、ある程度のリスクを許容
することで運用が容易になり、確実に対応することが可能になることも多い。診療のために直ちに必
要な情報をあらかじめ十分に検討し、確実に運用できるバックアップを確保しておくことが必要であ
る。
特に、一定規模以上の病院や、地域で重要な機能を果たしている医療機関等においては、ランサム
ウェア等のようにデータ自体を利用不能にするようなものについてバックアップデータまで被害が拡
大することのないよう、バックアップを保存する電磁的記録媒体等の種類、バックアップの周期、世
代管理の方法、バックアップデータを保存した記録媒体を端末及びサーバ装置やネットワークから切
り離して保管すること等を考慮して対策を講じることが強く求められる。例えば、日次でバックアッ
プを行う場合、数世代(少なくとも 3 世代)確保し、遅くとも 3 世代目以降はネットワーク的あるいは
論理的に書き込み不可の状態にする等の対策が必要となる。
- 48 -
[Ⅰ~Ⅳ]
【遵守事項】
①
医療情報システムに対する不正ソフトウェアの混入やサイバー攻撃などによるインシデント
に対して、以下の対応を行うこと。
-
攻撃を受けたサーバ等の遮断や他の医療機関等への影響の波及の防止のための外部ネット
ワークの一時切断
- 他の情報機器への混入拡大の防止や情報漏洩の抑止のための当該混入機器の隔離
- 他の情報機器への波及の調査等被害の確認のための業務システムの停止
-
バックアップからの重要なファイルの復元(重要なファイルは数世代バックアップを複数
の方式(追記可能な設定がなされた記録媒体と追記不能設定がなされた記録媒体の組み合わ
せ、端末及びサーバ装置やネットワークから切り離したバックアップデータの保管等)で確
保することが重要である)
18.1 サイバーセキュリティ対応
システム運用担当者は、サイバー攻撃を受けた等、サイバーセキュリティ対応の必要が生じた際に、
技術的な対応を行う必要が生じる場合がある。またサイバー攻撃等に備え、関係先への連絡手段や紙
での運用等の代替手段を準備する必要がある。
サイバー攻撃への対策については、PC や VPN 機器等の脆弱性対策については、
「8.2 情報機器
等の脆弱性への対策」を参照するほか、NISC から示されている「政府機関等のサイバーセキュリティ
対策のための統一基準群(令和3年度版)
」、2021 年 4 月 30 日の「ランサムウェアによるサイバー攻撃
に関する注意喚起について」も参照することが求められる。
また、非常時に備えたバックアップの実施と管理については、「11.システム運用管理(通常時・
非常時等)
」
、
「12.2 バックアップの管理」も参照することが求められる。
なお、医療情報システムは一般に複雑で、医療機関の規模等によって運用やバックアップの方法も
様々である。一様に指針を示すことは困難であるが、医療機関においては、重大な障害により医療提
供体制に支障が生じた場合であっても、診療の継続や早期に業務を再開することが求められる。バッ
クアップに関しては、全ての情報をバックアップから復元するのではなく、ある程度のリスクを許容
することで運用が容易になり、確実に対応することが可能になることも多い。診療のために直ちに必
要な情報をあらかじめ十分に検討し、確実に運用できるバックアップを確保しておくことが必要であ
る。
特に、一定規模以上の病院や、地域で重要な機能を果たしている医療機関等においては、ランサム
ウェア等のようにデータ自体を利用不能にするようなものについてバックアップデータまで被害が拡
大することのないよう、バックアップを保存する電磁的記録媒体等の種類、バックアップの周期、世
代管理の方法、バックアップデータを保存した記録媒体を端末及びサーバ装置やネットワークから切
り離して保管すること等を考慮して対策を講じることが強く求められる。例えば、日次でバックアッ
プを行う場合、数世代(少なくとも 3 世代)確保し、遅くとも 3 世代目以降はネットワーク的あるいは
論理的に書き込み不可の状態にする等の対策が必要となる。
- 48 -